Découvrez dans cet article cinq exemples célèbres d’attaques d’ingénierie sociale et apprenez comment ces tactiques trompent les individus. Les êtres humains sont par nature des êtres sociaux, qui aiment se mêler aux autres, communiquer, travailler et partager des activités. Cette sociabilité, fondée sur la confiance, facilite la coopération et la coexistence au sein des groupes humains.

Cependant, ces caractéristiques sociales sont également exploitées par les cybercriminels qui cherchent à nuire. Les attaques d’ingénierie sociale tirent parti de ces vulnérabilités en recourant à la tromperie et à l’usurpation d’identité pour manipuler les individus afin qu’ils agissent dans le sens des objectifs de l’escroc.

C’est ce que confirme le rapport 2023 Verizon Data Breach Investigations Report (DBIR), qui révèle que 82 % des violations impliquent un élément humain.

Voici un aperçu de la manière dont les attaques d’ingénierie sociale se produisent et de ce que vous pouvez faire pour éviter que votre personnel ne soit victime d’ingénierie sociale.

Comment les attaques par ingénierie sociale se produisent-elles ?

Selon un rapport récent, une organisation moyenne subit 700 attaques d’ingénierie sociale par an. Les attaques par ingénierie sociale se présentent sous de nombreuses formes et évoluent pour échapper à la détection.

L’objectif d’une attaque par ingénierie sociale est d’amener quelqu’un à faire quelque chose qui profite à un cybercriminel. Par exemple, inciter une personne à révéler des informations financières qui seront ensuite utilisées pour commettre une fraude.

L’ingénierie sociale ne se limite pas aux méthodes numériques. Les ingénieurs sociaux recourent à n’importe quelle tactique pour mettre en place les structures nécessaires pour tromper les gens. Il peut s’agir d’utiliser le téléphone ou d’entrer dans un bureau et de discuter avec le personnel.

Parmi les astuces d’ingénierie sociale les plus appréciées, citons

Prétextat et filature: les agresseurs se font passer pour un collègue ou une personne d’autorité, par exemple un officier de police. Ils utilisent cette apparence pour établir une relation de confiance avec une cible par le biais d’une méthode numérique, par téléphone ou en personne. Une fois la confiance établie, l’escroc tente de soutirer des informations, telles que des données personnelles ou financières.

En outre, les « tailgators » mènent souvent des attaques physiques contre les entreprises, en trouvant des moyens de pénétrer dans un bâtiment, en s’y glissant sans se faire remarquer ou même en s’y faisant inviter. Une fois à l’intérieur d’un bâtiment, ils peuvent utiliser des outils facilement disponibles, tels que RubberDucky USB utilisé par des testeurs de pénétration légitimes, pour voler des données, y compris des identifiants de connexion.

Phishing: le phishing se présente sous différentes formes, notamment par courrier électronique, appels téléphoniques, messages sur les médias sociaux et messages textuels. Les messages d’attaque de phishing contiennent des tactiques d’ingénierie sociale, utilisant les faux-semblants, la confiance et l’envie de cliquer pour encourager les destinataires à divulguer des informations personnelles, telles que les mots de passe et les détails de la carte de crédit.

Une étude du gouvernement britannique sur la cybersécurité a révélé que la grande majorité (83 %) des entreprises ayant identifié une cyberattaque ont déclaré que l’hameçonnage était le principal vecteur de l’attaque.

Le spearphishing est la forme ciblée d’hameçonnage qui pousse l’ingénierie sociale à son paroxysme. Les courriels de spearphishing sont difficiles à différencier des courriels légitimes car les escrocs se donnent beaucoup de mal pour les faire paraître réalistes, souvent en établissant des relations de confiance avec leur cible. Le spearphishing est à l’origine de 93 % des cyberattaques, selon le DBIR 2018.

Appât: cette attaque d’ingénierie sociale utilise l’attrait ou la peur de manquer (FOMO) pour encourager certains comportements. Par exemple, un employé peut se voir offrir des cadeaux s’il fournit des informations personnelles, des informations sur l’entreprise ou des mots de passe.

Pourquoi les attaques d’ingénierie sociale sont-elles efficaces ?

Les êtres humains ont évolué pour agir et se comporter de certaines manières afin d’établir des structures sociales fortes et cohésives. Des éléments tels que la confiance sont des composantes essentielles de sociétés cohérentes. Sans confiance, les relations échouent.

Les escrocs comprennent le comportement humain et la nécessité d’établir des relations de confiance. Ils savent également comment manipuler les gens en se faisant passer pour une personne de confiance ou en établissant une relation de confiance.

D’autres comportements humains, comme le désir de bien faire son travail, de ne pas s’attirer d’ennuis ou de ne pas passer à côté d’une bonne chose, sont également exploités par les cybercriminels. Toutes ces actions naturelles que nous effectuons quotidiennement à la maison et au travail peuvent être exploitées par des cybercriminels désireux de voler des données et d’accéder à des réseaux pour mener des actions malveillantes.

5 exemples d’attaques d’ingénierie sociale

Des exemples d’ingénierie sociale sont régulièrement publiés dans la presse, mais en voici cinq qui vous donneront une idée du fonctionnement de l’ingénierie sociale :

Hôtel Marriott : un groupe de pirates a utilisé des tactiques d’ingénierie sociale pour voler 20 Go de données personnelles et financières à un hôtel Marriott. Les pirates ont piégé un employé de l’hôtel Marriott pour qu’il leur donne accès à son ordinateur.

Département du travail des États-Unis (DoL) : il s’agit d’une attaque par ingénierie sociale visant à voler les identifiants de connexion à Office 365. L’attaque a utilisé un hameçonnage sophistiqué basé sur des domaines astucieusement usurpés qui ressemblaient à s’y méprendre au domaine légitime du DoL. Les courriels semblaient provenir d’un employé senior du DoL qui les invitait à soumettre une offre pour un projet gouvernemental. En cliquant sur le bouton de soumission, l’employé était dirigé vers un site d’hameçonnage utilisé pour voler des informations d’identification.

Utilisateurs de Zoom: une campagne de phishing ciblant les employés a touché au moins 50 000 utilisateurs. Les ingénieurs sociaux ont utilisé la peur du licenciement pour encourager les employés à cliquer sur un lien afin de rencontrer les RH via Zoom. En cliquant sur le lien, l’employé accédait à un faux site de connexion à Zoom conçu pour voler les mots de passe.

FACC (constructeur aéronautique autrichien) : FACC a perdu environ 42 millions d’euros lorsqu’elle a été victime d’une escroquerie sophistiquée de type Business Email Compromise (BEC). Le PDG de l’entreprise a vu son compte de messagerie usurpé et utilisé pour envoyer un courriel « urgent » de demande de transfert de fonds. Ce courriel a piégé un employé chargé de la gestion des comptes, qui a accédé à la demande et versé l’argent sur le compte de l’escroc.

Rappel de CrowdstrikeLe rapport de Crowdstrike : même les fournisseurs de sécurité ressentent la force de l’ingénierie sociale. Crowdstrike est devenu un pion involontaire dans le jeu des ingénieurs sociaux. Les escrocs utilisent la marque de confiance de Crowdstrike et d’autres fournisseurs de sécurité pour envoyer des courriels d’hameçonnage aux employés. L’e-mail contient des détails sur une éventuelle infection par un logiciel malveillant et un numéro de téléphone à appeler pour supprimer le logiciel malveillant installé. Si l’employé appelle le numéro, il est incité à donner au pirate l’accès à son ordinateur.

Comment se protéger contre les attaques d’ingénierie sociale

L’ingénierie sociale réussit parce que la technique manipule nos actions quotidiennes. Il est donc difficile pour les employés de se rendre compte qu’ils font partie d’une attaque d’ingénierie sociale.

L’ingénierie sociale doit faire partie du débat sur la sensibilisation à la sécurité, et les politiques de sécurité doivent en tenir compte. Cependant, il existe des moyens pratiques de s’assurer que les employés sont au courant des astuces utilisées par les escrocs en matière d’ingénierie sociale :

Intégrez l’ingénierie sociale à votre culture de la sécurité :

  1. Faites participer le personnel à des mises à jour régulières sur l’ingénierie sociale et son fonctionnement.

  2. Veillez à ce que l’ingénierie sociale fasse partie de votre formation régulière de sensibilisation à la sécurité.

  3. Incluez l’ingénierie sociale dans les affiches du mois de la sensibilisation à la sécurité et envoyez des bulletins d’information au personnel sur les problèmes causés par l’ingénierie sociale.

Déployez des simulations d’hameçonnage: utilisez une plateforme avancée de simulation d’hameçonnage pour former le personnel à l’aspect des courriels d’hameçonnage et pour tester leur réaction à un courriel d’hameçonnage. Adaptez ces courriels aux différents rôles de votre organisation et basez les simulations sur des tactiques connues utilisées par les escrocs.

Testez la pénétration de votre entreprise et de votre personnel : mettez en place divers scénarios de test pour voir comment le personnel réagit à d’éventuelles tentatives d’ingénierie sociale. Il peut s’agir de tests visant à déterminer s’il est facile (ou difficile) d’entrer dans le bâtiment.

Testez également le personnel et sa réaction face à des individus inconnus. Par exemple, faites passer les testeurs pour des nettoyeurs ou des sous-traitants et voyez jusqu’où ils peuvent aller pour obtenir des informations sur votre entreprise ou demander l’accès à un ordinateur.

phishing img français

[faq_posts]